Общие сведения о расследовании инцидентов в Microsoft Sentinel и возможностях управления делами
Microsoft Sentinel предоставляет полную, полнофункционированную платформу управления делами для изучения инцидентов безопасности и управления ими. Инциденты — это имя Microsoft Sentinel для файлов дела, содержащих полный и постоянно обновленный хронологию угрозы безопасности, будь то отдельные фрагменты доказательств (оповещений), подозреваемых и сторон, интересующих (сущностей), аналитические сведения, собранные экспертами по безопасности и моделями искусственного интеллекта и машинного обучения, или комментарии и журналы всех действий, принятых в ходе расследования.
Опыт исследования инцидентов в Microsoft Sentinel начинается со страницы "Инциденты " — новый интерфейс, предназначенный для предоставления вам всего необходимого для расследования в одном месте. Ключевой целью этого нового опыта является повышение эффективности и эффективности SOC, сокращение среднего времени для разрешения (MTTR).
В этой статье описаны этапы типичного расследования инцидентов, показыв все отображаемые и средства, доступные для вас, чтобы помочь вам вместе.
Увеличьте зрелость SOC
Microsoft Sentinel предоставляет средства, помогающие повысить уровень зрелости операций безопасности (SecOps).
Стандартизация процессов
Задачи инцидентов — это списки рабочих процессов для аналитиков, чтобы обеспечить единый стандарт ухода и предотвратить пропуск важных шагов. Руководители и инженеры SOC могут разрабатывать эти списки задач и автоматически применять их к разным группам инцидентов в соответствии с соответствующими параметрами или по всей доске. Затем аналитики SOC могут получить доступ к назначенным задачам в каждом инциденте, помечая их по завершении. Аналитики также могут вручную добавлять задачи в открытые инциденты, как самозаверяния или в пользу других аналитиков, которые могут сотрудничать с инцидентом (например, из-за смены или эскалации).
Дополнительные сведения о задачах инцидентов.
Аудит управления инцидентами
Журнал действий инцидентов отслеживает действия, выполняемые на инциденте, независимо от того, инициируются ли люди или автоматизированные процессы, и отображает их вместе со всеми комментариями об инциденте. Вы также можете добавить собственные комментарии здесь. Это дает вам полный отчет обо всем, что произошло, обеспечивая тщательность и подотчетность.
Эффективное и эффективное исследование
См. временная шкала
Во-первых: Как аналитик, самый простой вопрос, который вы хотите ответить, почему этот инцидент обращается к моему внимания? Страница сведений об инциденте ответит на этот вопрос: прямо в центре экрана вы увидите мини-приложение "Инцидент временная шкала". Временная шкала является дневником всех оповещений, представляющих все зарегистрированные события, относящиеся к расследованию, в том порядке, в котором они произошли. В временная шкала также отображаются закладки, моментальные снимки доказательств, собранных во время охоты и добавленные в инцидент. Просмотрите полные сведения о любом элементе в этом списке, выбрав его. Многие из этих сведений ( например, исходное оповещение, правило аналитики, создающее его, и все закладки) отображаются в виде ссылок, которые можно выбрать для более глубокого изучения и получения дополнительных сведений.
Узнайте больше о том, что можно сделать из инцидента временная шкала.
Узнайте об аналогичных инцидентах
Если что-нибудь, что вы видели до сих пор в вашем инциденте выглядит знакомым, может быть веские причины. Microsoft Sentinel остается на шаг впереди вас, показывая вам инциденты, наиболее похожие на открытый. Мини-приложение "Аналогичные инциденты" показывает вам наиболее релевантную информацию об инцидентах , которые считаются похожими, включая их последние обновленные даты и время, последний владелец, последнее состояние (включая, если они закрыты, причина, по которой они были закрыты), и причина сходства.
Это может воспользоваться вашим исследованием несколькими способами:
- Пятнистые параллельные инциденты, которые могут быть частью более крупной стратегии атаки.
- Используйте аналогичные инциденты в качестве эталонных точек для текущего расследования, см. сведения о том, как они были рассмотрены.
- Определите владельцев прошлых аналогичных инцидентов, чтобы воспользоваться своими знаниями.
В мини-приложении показаны 20 наиболее похожих инцидентов. Microsoft Sentinel решает, какие инциденты похожи на общие элементы, включая сущности, правило исходной аналитики и сведения о оповещении. Из этого мини-приложения можно перейти непосредственно на все страницы сведений об этих инцидентах, сохраняя подключение к текущему инциденту нетронутым.
Узнайте больше о том, что можно сделать с аналогичными инцидентами.
Изучение основных аналитических сведений
Далее, имея широкие сведения о том, что произошло (или все еще происходит), и имея лучшее понимание контекста, вы будете любопытно о том, какая интересная информация Microsoft Sentinel уже узнала для вас. Он автоматически задает большие вопросы о сущностях в инциденте и отображает верхние ответы в мини-приложении Top Insights , видимый в правой части страницы сведений об инциденте. В этом мини-приложении показана коллекция аналитических сведений на основе анализа машинного обучения и курирования ведущих групп экспертов по безопасности.
Это специально выбранное подмножество аналитических сведений, которые отображаются на страницах сущностей, но в этом контексте аналитические сведения обо всех сущностях в инциденте представлены вместе, что дает вам более полную картину того, что происходит. Полный набор аналитических сведений отображается на вкладке "Сущности" для каждой сущности отдельно, см. ниже.
Мини-приложение Top Insights отвечает на вопросы о сущности, связанной с его поведением в сравнении со своими одноранговыми узлами и собственной историей, его присутствием в списках наблюдения или в аналитике угроз или любой другой вид необычного вхождения, связанного с ним.
Большая часть этих аналитических сведений содержит ссылки на дополнительные сведения. Эти ссылки открывают панель журналов в контексте, где вы увидите исходный запрос для этого анализа вместе с результатами.
Просмотр сущностей
Теперь, когда у вас есть контекст и некоторые основные вопросы, ответы на которые вы хотите получить больше глубины на основных игроков, находятся в этой истории. Имена пользователей, имена узлов, IP-адреса, имена файлов и другие типы сущностей могут быть "лицами, интересующими вас". Microsoft Sentinel находит их все для вас и отображает их передний и центр в мини-приложении Сущностей наряду с временная шкала. При выборе сущности из этого мини-приложения вы узнаете о списке этой сущности на вкладке "Сущности" на той же странице инцидента.
Вкладка "Сущности" содержит список всех сущностей в инциденте. При выборе сущности в списке откроется боковая панель, содержащая дисплей на основе страницы сущности. Боковая панель содержит три карта:
Сведения содержат основные сведения об сущности. Для сущности учетной записи пользователя это может быть имя пользователя, доменное имя, идентификатор безопасности (SID), сведения о организации, сведения о безопасности и многое другое.
Временная шкала содержит список оповещений, которые содержат эту сущность и действия, которые сущность сделала, как было собрано из журналов, в которых отображается сущность.
Аналитика содержит ответы на вопросы о сущности, относящейся к его поведению в сравнении со своими сверстниками и собственной историей, его присутствием в списках наблюдения или в аналитике угроз или любой другой вид необычного возникновения, связанного с ним. Эти ответы — это результаты запросов, определенных исследователями по безопасности Майкрософт, которые предоставляют ценную и контекстную информацию о безопасности сущностей на основе данных из коллекции источников.
По состоянию на ноябрь 2023 года панель Аналитика включает в себя следующее поколение аналитических сведений, доступное в предварительной версии, в виде мини-приложений обогащения вместе с существующими аналитическими сведениями. Чтобы воспользоваться преимуществами этих новых мини-приложений, необходимо включить интерфейс мини-приложения.
В зависимости от типа сущности можно выполнить ряд дальнейших действий с этой боковой панели:
- Сводка на полную страницу сущности сущности, чтобы получить еще больше сведений в течение более длительного интервала времени или запустить графическое средство исследования, в центре этого объекта.
- Запустите сборник схем, чтобы выполнить определенные действия по реагированию или исправлению сущности (в предварительной версии).
- Классифицируйте сущность как индикатор компрометации (МОК) и добавьте ее в список аналитики угроз.
Каждое из этих действий в настоящее время поддерживается для определенных типов сущностей, а не для других. В следующей таблице показано, какие действия поддерживаются для типов сущностей:
| Доступные действия ▶ Типы сущностей : |
Просмотреть все подробные данные (на странице сущности) |
Добавление в TI * | Run playbook * (Предварительная версия) |
|---|---|---|---|
| Учетная запись пользователя | ✔ | ✔ | |
| Узел | ✔ | ✔ | |
| IP-адрес | ✔ | ✔ | ✔ |
| URL-адрес | ✔ | ✔ | |
| Доменное имя | ✔ | ✔ | |
| Файл (хэш) | ✔ | ✔ | |
| Ресурс Azure | ✔ | ||
| Устройство Интернета вещей | ✔ |
* Для сущностей, для которых доступны действия "Добавить в ТИ " или "Запустить сборник схем", эти действия можно выполнять прямо на вкладке "Обзор сущностей " на вкладке "Обзор", не покидая страницу инцидента.
Изучение журналов
Теперь вы хотите перейти к деталям, чтобы узнать, что именно произошло? Практически в любом из мест, упоминание выше, вы можете детализированы по отдельным оповещениям, сущностям, аналитическим сведениям и другим элементам, содержащимся в инциденте, просмотру исходного запроса и его результатов. Эти результаты отображаются на экране журналов (log analytics), который отображается здесь в виде расширения панели страницы сведений об инциденте, поэтому вы не покидаете контекст исследования.
Сохранение записей в порядке
Наконец, в интересах прозрачности, подотчетности и непрерывности вы захотите учесть все действия, которые были приняты на инцидент , будь то автоматизированные процессы или люди. В журнале действий инцидента отображаются все эти действия. Вы также можете просмотреть любые примечания, которые были сделаны и добавить свои собственные. Журнал действий постоянно обновляется автоматически, даже при открытии, поэтому вы можете видеть изменения в нем в режиме реального времени.
Следующие шаги
В этом документе вы узнали, как опыт исследования инцидентов в Microsoft Sentinel помогает выполнять расследование в одном контексте. Дополнительные сведения об управлении инцидентами и их расследовании см. в следующих статьях:
- Использование задач для управления инцидентами в Microsoft Sentinel
- Изучение сущностей с помощью страниц сущностей в Microsoft Sentinel.
- Автоматизация обработки инцидентов в Microsoft Sentinel с помощью правил автоматизации.
- Выявление дополнительных угроз с помощью анализа поведения пользователей и сущностей (UEBA) в Microsoft Sentinel
- Поиск угроз безопасности.